`
bruce.peng
  • 浏览: 65671 次
  • 性别: Icon_minigender_1
  • 来自: 珠海
社区版块
存档分类
最新评论

谈网银和USB Key (四)

阅读更多

谈网银和USB Key (四)

 

转自:http://apex.ncksoft.com/archives/162

本文一些内容纯属YY,如有雷同,乃是人品爆发。

好了,各位同学,现在我们已经知道黑客无所不在,无所不用其极,目标就是我们网上银行的存款,或者信用卡里的额度。前文《谈谈网银和USB Key (三) 》已经简要描述了目前的USB Key的潜在不安全因素,现在我们就来看看如何应对。

关于键盘木马,有一些“软”的方法可以在一定程度上进行遏止。例如“软键盘”,就是不再让用户通过键盘来输入USB Key的个人识别码(PIN码),而是在屏幕上显示一个虚拟键盘,用户需要通过鼠标点击虚拟按键来输入PIN码。事实上不仅仅是USB Key的PIN码输入采用这种方式,一些网银在不使用USB Key的,但是又需要更高级别安全性的一些地方,也采用“页面虚拟键盘”的方式,例如建行网银的登录页面就是这样的设计。还有一些USB Key的提供商也在键盘驱动上做文章:黑客不是想截取我的输入吗?好,我让你截个够!当进入PIN码输入状态的时候,底层键盘过滤驱动就自动产生无数的按 键信息发送给上层软件,將真正的用户输入淹没在极大量的随机击键事件中,让键盘木马难以得知哪些是真的用户输入,哪些是假的。当然,上层软件知道其中的猫 腻,可以从杂乱的数据中滤出真正的用户输入。

然而,这些方法都是治标不治本的,因为要完成持有者身份验证,就要將PIN码发送给USB Key,这PIN码总归会出现在电脑的内存中,这些方法只能够在一定程度上增加黑客破解的难度而已。

好了,我们不说这些小儿科的应对方法了,要真正提高USB Key的安全程度,就需要从USB Key的硬件使用方式上入手。

对付键盘木马这种攻击方式,根本的解决方法就是根本不用输入PIN码。嗯,不输入PIN码,那么USB Key怎么知道我就是合法持有者呢?别着急,我们有生物识别技术啊,说白了,最常见的就是指纹识别了。在USB Key上集成一块指纹扫描装置,当需要验证持有者身份的时候,就刷一下指纹,OK,验证通过,可以转帐了,这比记一个USB Key的PIN码还方便,不是吗。而且,指纹的扫描、特征比对都是在USB Key内部完成,根本不与电脑发生任何关系,这就让黑客无计可施了。这样的“指纹USB Key”已经出现在市场上了,北京农村商业银行的“金凤凰网银”就采用了这样的指纹USB Key。

不过并非只要是指纹USB Key就一定安全,如果USB Key上的指纹扫描与识别没有很好的有机结合的话,其中仍然是有漏洞的,例如,如果把指纹扫描的数据传回电脑,由电脑进行指纹特征信息的比对,或者再由电 脑將扫描的数据或者特征信息送回USB Key进行处理,黑客就有可能截取到指纹扫描得到的数据,进行“数据重放式攻击”。所以,安全的USB Key一定是由USB Key自己完成整个指纹扫描、特征值提取与比对的全过程的。

然而,指纹USB Key也有其缺点,就是技术含量高,但是成本也高。就目前为止,国内唯一一家能够提供指纹USB Key的厂商是北京飞天诚信科技有限公司。要想指纹USB Key能够广泛的应用起来,还需要时间。

那么,將键盘和USB Key结合起来,使得PIN码不用通过电脑传到USB Key,不也一样安全吗?是的,带键盘输入的USB Key也比较安全,但是请低头看看你的键盘右侧的数字键区域,只是加入0~9这几个数字键,就需要增加不少的体积,这对于需要满足“随身携带”这一特点的 USB Key来说,体积实在是大了些,不够实用。不过我想,随着技术的发展,超薄键盘、折叠式键盘、投影式虚拟键盘可能会改变这一状况。嘿嘿,想想投影式虚拟键 盘,有点科幻的味道,不过这一天的到来应该不远了~~~

好了,成本高不合适,体积大也不合适,既然目前没有从根本上解决问题的合适的方法,我们就换个思路吧,不要忘了,一切安全性都是相对的 ~~~

既然黑客总是能够通过各种手段得到USB Key的PIN码,然后在用户没有发觉的情况下完成网上交易,那么,如果我们能够在每次需要USB Key来证明自己身份的时候,需要用户手工干预一下才能完成验证过程,是不是就能够解决这个“不知不觉中 ” 账户里的钱就不翼而飞的问题呢?事实上这样的USB Key已经出现了,国内的几家主要的USB Key厂商都纷纷推出了这种“按钮USB Key”。这种类型的USB Key比普通USB Key多了一个按键,当需要转帐的时候,就需要用户按一下按键,否则USB Key拒绝使用内置的密钥来证明你的身份(进行数字签名),也就无法完成网上交易。有了这个按钮式USB Key,你的每一次网上交易就明明白白了:只要有网上交易,一定是有人明确的按了这个按钮,而只要这个USB Key没有丢失,那就一定是你自己干的了。即使黑客得到你的PIN码,他也无法通过网络伸手到你的电脑前按一下这个按钮吧!!

好了,按钮式USB Key,这下安全了~~~

安全了?安全了?我带上黑客的帽子,在一边得意的笑,我得儿意的笑,我得儿意的笑~~~~

欲知“按钮USB Key”为何不安全,又如何应对其安全漏洞,请关注本文连载之五。

分享到:
评论

相关推荐

    USB-Key.rar_USB KEY_java usb_java usb key_usb key开发_usbkey

    USB Key在IT行业中广泛应用于网上银行、电子政务、企业内部系统登录等场景,提供了一种物理层面上的安全保障,防止了恶意软件对数据的窃取。 USB Key与Java的结合,通常涉及到Java的USB API,如 javax.usb 包,允许...

    徽商银行网上银行USBKey管理工具及驱动全面版

    徽商银行驱动程序及管理工具是一款徽商银行网上银行USB Key管理工具及驱动,徽商银行 USBKEY客户端安全套件是基于PKI体系,并采用智能卡技术保证安全性的网络安全产品。它采用USBKEY作为存储和运算介质,可使证书和...

    JR-T 0114-2015 网银系统USBKey规范 安全技术与测评要求(1).pdf

    《JR-T 0114-2015 网银系统USBKey规范 安全技术与测评要求》是由中华人民共和国金融行业制定的一项标准文档,旨在规定网银系统中USBKey的安全技术要求以及相关的测评要求和方法。该标准于2015年8月31日发布并实施。 ...

    网上银行利用USBKey加密、认证的装置

    本实用新型揭露的一种网上银行利用USBKey加密、认证的装置,包括:一个USBKey,具有唯一的序列号,用于存放识别客户身份的数字证书和私人密钥的数字证书,所述USBKey的序列号与客户信息相对应;一个联网计算机,具有...

    usbkey(加密狗)读取

    USBKey通常具有体积小、携带方便的特点,广泛应用于银行网银、电子政务、电子商务等领域。 #### 二、USBKey的工作原理 USBKey的核心在于其内置的安全芯片,该芯片能够执行密钥生成、加密解密等功能。当用户将USB...

    USBKEY 驱动 网上银行 专业

    USBKEY驱动是用于确保网上银行安全的重要组件,它是一种硬件安全设备,通常以小型便携式USB设备的形式存在。USB KEY驱动程序是操作系统与USB安全密钥之间的桥梁,允许用户在进行网上银行业务时进行身份验证,从而...

    广州银行网上银行USBKey驱动程序V1.4.14.1011官方免费安装版

    广州银行网上银行USB Key驱动程序是一款由广州银行官方制作推出的用于广州银行网上交易的Ukey驱动和管理软件。用户在登录网上银行的时候,出现无法输入密码情况就是因为没有安装usbkey驱动认证没有通过。系统唯有...

    建行握奇USBKey驱动程序V3.2

    建行握奇USBKey驱动程序V3.2是一款专为中国建设银行(CCB)设计的安全认证工具,它主要用于为银行客户提供安全、可靠的网上银行服务。USBKey,又称数字证书硬件载体,是一种小型便携式的存储设备,内置加密芯片,...

    USBKey_setup.zip

    USBKey,通常称为USB数字证书或USB安全密钥,是一种小型硬件设备,用于存储个人身份验证信息,如数字证书,以增强网络安全性,特别是进行网上银行交易、访问受保护的公司资源或者在云服务中加密数据时。 描述中的...

    工行捷德 USBKey x64 驱动 for Vista/Win7/2008/2008R2

    USBKey是一种常见的硬件安全设备,通常用于保护用户的敏感数据,如...总的来说,工行捷德USBKey x64驱动是64位Windows系统用户进行网上银行操作必不可少的软件组件,其正确安装和使用对于保障交易安全具有重要意义。

    USBKEY 认证方式的网上支付研究

    用户在进行网上支付时,银行或其他认证机构会将用户的私钥存储在USBKEY内,而公钥则在网络中公开。当用户需要进行支付时,通过插入USBKEY,系统可以使用私钥对交易信息进行签名,确保信息不被篡改。 USBKEY认证方式...

    USBKEY认证方式的网上支付研究

    随着技术的不断进步和完善,未来USBKEY有望成为电子支付领域更加普及和可靠的认证手段。同时,也需要持续关注网络安全威胁的变化趋势,不断完善USBKEY的安全设计和技术支持,确保电子支付系统的长期稳定运行。

    飞天诚信epass3000 usbkey开发包

    该USBKey内嵌硬件加密芯片,提供强大的数字签名、证书存储及数据加密功能,广泛应用于网上银行、电子政务、企业信息化等领域。 开发包通常包含了驱动程序、API接口文档、示例代码以及必要的工具,以供开发者集成到...

    usb.rar_USB KEY_java Ca_usb_证书

    总之,这个压缩包提供了一个与USB KEY和Java CA相关的程序,用于增强身份验证和数据安全。对于那些需要在安全环境中工作的开发者或IT专业人士来说,这是一个非常有用的技术资源。通过学习和理解这个程序,可以更好地...

    临商银行usbkey驱动 飞天二合一版.zip

    临商银行usbkey驱动妃太难版有两个版本,是根据你的usbkey版本来的,选择相应的版本安装,对照自己的usbkey,小编在这里吧飞天版的两个版本打包放在了一起,大家下载完成后注意区分安装。 为保证您正常使用网上银行...

    Usbkey身份认证

    为了保障用户资金安全,各大银行采取了一系列措施,如提升用户安全意识、安装反病毒软件以及采用硬件认证手段,如Usbkey和动态口令令牌。Usbkey的私钥存储在密码保护的硬件中,理论上无法被非法读取,极大地提高了...

    PassBay USB KEY JSP示范

    PassBay USB KEY 是一种基于硬件的安全认证设备,主要用于增强网络服务的安全性,特别是对于需要高安全性的网上银行、电子政务等应用。它结合了USB存储和数字证书功能,通过插入USB接口,用户可以安全地进行身份验证...

    鞍山银行usbkey管理工具V1.0官方版

    usbkey管理工具是针对鞍山银行个人网银安全的usbkey管理驱动,鞍山银行usbkey驱动支持修改密码,查看证书等功能,是鞍山银行网上银行必装的组件。 鞍山银行usbkey管理工具功能介绍: 修改密码 初始化 查看证书 设备...

    工行捷德usb证书Win7的64位驱动(Windows 7 x64 usbkey)

    标题中的“工行捷德usb证书Win7的64位驱动(Windows 7 x64 usbkey)”指的是工商银行使用的捷德USBkey在Windows 7 64位操作系统下的驱动程序。USBkey是一种硬件安全设备,通常用于存储用户的数字证书,以确保在网银...

    临商银行usbkey驱动飞天二合一版

    临商银行usbkey驱动妃太难版有两个版本,是根据你的usbkey版本来的,选择相应的版本安装,对照自己的usbkey,小编在这里吧飞天版的两个版本打包放在了一起,大家下载完成后注意区分安装。 为保证您正常使用网上银行...

Global site tag (gtag.js) - Google Analytics